章 6. 安全性

搜尋 sudoers 條目時的作法

sudo 工具程式可以參照 /etc/nsswitch.conf 檔案,尋找 sudoers 的條目或使用 LDAP。之前在第一個資料庫中找到 sudoers 條目時,搜尋功能會繼續在其他資料庫(包括檔案)中搜尋。在 RHEL 5.9 中,/etc/nsswitch.conf 檔案多了一個選項,允許使用者指定找到 sudoers 時,一個資料庫就已經足夠。這降低了查詢其它資料庫的需求;因此改進了在大型環境中尋找的效能。預設上這行為不會被啟用,要使用的話,請在選擇資料庫之後,新增 [SUCCESS=return] 字串。當從一個資料庫中找到一筆資料時,就不會搜尋其它資料庫。

增加 pam_cracklib 的密碼檢查

pam_cracklib 模組已經更新,新增了多個新密碼強度檢查程式:
  • 一些身分認證政策並不包含長的、連續的字元,例如「abcd」或「98765」。這項更新透過 maxsequence 選項,引介了限制連續字串的最大長度。
  • 現在 pam_cracklib 模組允許檢查新密碼是否包含來自 /etc/passwd 檔案中,GECOS 欄位的字串。GECOS 欄位是用來記錄使用者的額外資訊,例如使用者的全名或電話號碼,這都可能被攻擊者用來破解密碼。
  • 現在 pam_cracklib 模組透過 maxrepeatclass 選項,允許同樣類別字元(小寫、大寫、數次、特殊字元)的最大連續長度。
  • 現在 pam_cracklib 模組支援 enforce_for_root 選項,強制限制 root 帳號使用複雜的新密碼。

tmpfs 多例示的大小選項

在多 tmpfs 掛載的系統上,需要限制其大小以避免佔據所有系統記憶體。PAM 已經更新,以允許使用者透過 /etc/namespace.conf 配置檔案中的 mntopts=size=<size> 選項,指定 tmpfs 檔案系統掛載的最大大小。

鎖定非啟用中的帳號

一些授權政策需要鎖定一段時間沒有使用的帳號之支援功能。Red Hat Enterprise Linux 6.4 引介了額外功能至 pam_lastlog 模組,允許使用者鎖定在配置好的時間後,鎖定帳號。

libica 的新操作模式

libica 函式庫包含了一組功能與工具程式,可存取 IBM System z 上的 IBM ICA(IBM eServer Cryptographic Accelerator,IBM eServer 加密加速器)硬體,這函式庫已經修正,允許使用新的演算法則,支援 CPACF(Central Processor Assist for Cryptographic Function,中央處理器對加密功能的支援)中的訊息安全協助延伸指令集 4(Message Security Assist Extension 4)。現在針對 DES 與 3DES 區塊加密器,支援以下操作模式:
  • CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
  • CMAC (Cipher-based Message Authentication Code)
針對 AES 區塊加密器,現在支援以下操作模式:
  • CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
  • CCM (Cipher Block Chaining Message Authentication Code 的計數器)
  • GCM (Galois/Counter)
這個複雜的加密演算法則能顯著改進 IBM System z 電腦的執行效能。

System z 上,對於 zlib 壓縮函式庫的最佳化與支援

zlib 函式庫是通用、無失真的資料壓縮函式庫,此函式庫已經更新,已改進在 IBM System z 上的執行效能。

防火牆配置的失效處理

iptablesip6tables 服務提供了如果預設配置無法套用時,就使用指定就會使用防火牆失效配置的能力。如果從 /etc/sysconfig/iptables 套用防火牆規則失敗,那麼就會使用 fallback 檔案(如果存在的話)進行失效處理。fallback 檔案名為 /etc/sysconfig/iptables.fallback,同時使用 iptables-save 檔案格式(與 /etc/sysconfig/iptables 相同)。如果 fallback 檔案的應用程式也失敗,那麼就沒有更進一步的失效處理。要建立 fallback 檔案,請使用標準的防火牆配置工具,並將這檔案更名或複製為 fallback 檔案。請使用同樣的程序,處理 ip6tables 服務,或取代所有 iptables 的檔案,使其成為 ip6tables